信息安全审计培训教材

信息安全审计培训教材一、黑客攻击与安全审计黑客简介黑客的定义黑客（Hacker）的定义：非法搜索和渗透计算机网络，访问和使用数据的人。根据黑客的态度和动机来给黑客分类，可分为下列3类：偶然的破坏者：坚定的破坏者：间谍和工业侦探：黑客的动机黑客的动机表明了入侵的目的，从而有助于安全专家更好地评估系统的危险性。挑战贪婪恶意安全审计什么是安全审计人员？安全审计人员是进行风险评估的个体。作为一名审计人员，你的职责是通过对网络风险进行评估，从而提出有效的安全解决方案。一个合格的审计人员应该从两个角度来分析网络：从黑客的角度进行思考，寻找现有网络的漏洞，对网络资源加以保护；从雇员和管理者的角度进行思考，寻找最佳途径既可保障安全又不影响商业运作效率。安全审计人员的工作安全审计人员采用两种方式来达到一个高的安全等级：抱怨分析和风险分析。首先他们帮助网络管理人员了解用户的抱怨，制定一致性的安全策略。容易出现的问题是网管和安全专家所制定的可靠的安全策略只有用户在抵制它。其次是进行风险评估，决定哪些服务器是公司最重要的服务器，哪些最需要保护的资源。审计人员的职责和前瞻性作为一名审计人员，应该至少从两个角度来对待网络：从安全管理者的角度和从顾问的角度考虑。从黑客角度审计人员最初不了解网络的拓扑结构、服务、协议和操作的情况，此时从一个不了解内情的黑客角度来侦查、渗透和试图控制网络。从知情的审计者的角度第二类审计人员是从一个内部知情人的角度来评估网络安全。多数情况下，审计人员会合并这两种角度来提供更深层次的审计。黑客攻击过程在实施审计的时候，你将尝试采取一些黑客的行为：试图侦查、渗透和控制网络系统。这三个步骤是作为一名黑客和安全审计人员进行的重要阶段。侦查阶段在侦查阶段，你将扫描和测试系统的有效安全性。对网络进行侦查意味着要定位出网络资源的具体情况，包括IP地址、开放端口、网络拓扑等。这种分析工作通常需要大量的时间，我们可以使用自动运行的扫描程序。渗透阶段渗透意味着你能绕过安全控制机制，如登录账号和密码。你还可以通过使加密机制无效从而破坏数据的机密性和完整性。你还可以是网络拒绝提供服务。控制阶段控制意味着可以随心所欲的管理网络和主机。审计人员从不试图控制网络主机，只是通过演示他可以控制网络主机来证明现有网络存在的问题。你将发现，控制表明一个黑客可以控制网络资源，创建账号，修改日志，行使管理员的权限。二、侦查手段和工具黑客和安全审计人员采取的第一步都是侦查网络。在本节中，你将接触一些网络侦查工具和方法。安全扫描DNS工具Whois命令Whois命令通常是安全审计人员了解网络情况的开始。一旦你得到了Whois记录，从查询的结果还可得知Primary和Secondary域名服务器的信息。Lab12-1演示Whois工具的使用，Web网站Whois工具的使用Nslookup命令使用DNS的排错工具nslookup，你可以利用从Whois查询到的信息侦查更多的网络情况。Ping扫描和使用TraceroutePing扫描软件Ping扫描程序将自动扫描你所指定的IP地址范围。Traceroute命令Traceroute用于路由追踪，如判断从你的主机到目标主机经过哪些路由器、跳计数、响应时间如何、是否有路由器宕机等。Lab12-2Ping扫描软件的使用，Tracert命令的使用端口扫描端口扫描软件端口扫描器是黑客最常使用的工具。一些单独使用的端口扫描工具像PortScanner，定义好IP地址范围和端口后便可开始实施扫描。许多工具也集成了端口扫描器。Lab12-3用PingPro执行Ping扫描和端口扫描；网络侦查和服务器侦查程序有一些更复杂的工具可以识别更多的网络和服务类型的程序。例如NMAP是UNIX下的扫描工具，它可以识别不同操作系统在处理TCP/IP协议上细微的差别。服务扫描RedButton可以从Windows2000服务器上获得信息。Lab12-5演示RedButton堆栈指纹识别和操作系统检测利用堆栈指纹技术允许你利用TCP/IP来识别不同的操作系统和服务。各个厂商和系统处理TCP／IP协议的特征是管理员所难以更改的。许多审计人员和黑客记录下这些TCP/IP应用的细微差别，并针对各种系统构建了堆栈指纹表。NMAP由于功能强大、不断升级和免费的原因十分流行。它对网络的侦查十分有效。使用Telnet你可以Telnet至HTTP端口。在连接一段时间内若没有任何动作，服务器会因为无法识别这次连接而自动切断。但是你通常可以从HTTP服务器上得到一些信息。Lab12-6演示Telnet企业级的审计工具企业级的审计程序用以其人之道还制其人之身的方式来对付黑客，通过对网络进行综合的攻击使你可以实时地检测到网络的漏洞，并加以改进。协议及操作系统的支持扫描级别配置文件和策略报告功能常见的弱点扫描器SymantecNetReconISSInternetScanner其他扫描器如：EeyeRetina（）；Lab12-7部署EeyeRetina4.0社会工程作为安全管理人员你不应低估社会工程的威胁。作为安全审计人员，你也不应在侦查工具和技巧中漏掉社会工程。电话访问E-mail诈骗教育作为安全管理人员，避免员工成为侦查工具的最好方法是对他们进行教育。通过提高员工对设备的认识和增强他们的责任感，可以使他们变得更难于被黑客控制。获得信息作为安全审计人员，你可以把信息分成网络级别和主机级别的信息。网络级别的信息下表中列出了你需要获得的有价值的网络级别的信息。网络拓扑路由器和交换机防火墙种类IP服务Modem池主机级别的信息下表列举了一些更有价值的主机级别的信息：活动端口数据库服务器近年来，许多成功的黑客都和用了大量的业余时间。他们阅读了大量的文献，研究系统的缺省设置和内置的漏洞。无论你是安全管理大员还是安全审计大员，都应该尽可能地多掌握产品的情况。三、服务器渗透和攻击技术审计一旦黑客定位了你的网络，他通常会选定一个目标进行渗透。通常这个目标会是安全漏洞最多或是他拥有最多攻击工具的主机。容易遭受攻击的目标最常遭受攻击的目标包括路由器、数据库、Web和FTP服务器，和与协议相关的服务，如DNS、WINS和SMB。路由器连接公网的路由器由于被暴露在外，通常成为被攻击的对象。许多路由器为便于管理使用SNMP协议，尤其是SNMPv1，成为潜在的问题。许多网络管理员未关闭或加密Telnet会话，若明文传输的口令被截取，黑客就可以重新配置路由器，这种配置包括关闭接口，重新配置路由跳计数等等。物理安全同样值得考虑，必须保证路由器不能被外人物理接触到进行终端会话。过滤Telnet为了避免未授权的路由器访问，你应利用防火墙过滤掉路由器外网的telnet端口和SNMP[161，162]端口。或在配置完路由器后将Telnet服务禁止掉，因为路由器并不需要过多的维护工作。如果需要额外的配置，你可以建立物理连接。数据库黑客最想得到的是公司或部门的数据库。现在公司普遍将重要数据存储在关系型或面向对象的数据库中，这些信息包括：雇员数据，如个人信息和薪金情况；市场和销售情况；重要的研发信息；货运情况等。黑客可以识别并攻击数据库。每种数据库都有它的特征。如SQLServer使用1433/1434端口，你应该确保防火墙能够对该种数据库进行保护。Web和FTP服务器安全WEB和FTP这两种服务器通常置于DMZ，无法得到防火墙的完全保护，所以也特别容易遭到攻击。Web和FTP服务通常存在的问题包括：用户通过公网发送未加密的信息；操作系统和服务存在众所周知的漏洞导致拒绝服务攻击或破坏系统；旧有操作系统中以root权限初始运行的服务，一旦被黑客破坏，入侵者便可以在产生的命令解释器中运行任意的代码。邮件服务广泛使用的SMTP、POP3和IMAP4一般用明文方式进行通信。这种服务可以通过加密进行验证但是在实际应用中通信的效率不高。由于大多数人对多种服务使用相同的密码，攻击者可以利用嗅探器得到用户名和密码，再和用它攻击其它的资源，例如Windows2000服务器。与邮件服务相关的问题包括：利用字典和暴力攻击POP3的loginshell；在一些版本中Sendmail存在缓冲区溢出和其它漏洞；利用E-mail的转发功能转发大量的垃圾信件。名称服务攻击者通常把攻击焦点集中在DNS服务上。DNS服务器经常暴露在外，使它成为攻击的目标。DNS攻击包括：未授权的区域传输；DNS毒药，这种攻击是指黑客在主DNS服务器向辅DNS服务器进行区域传输时插入错误的DNS信息，一旦成功，攻击者便可以使辅DNS服务器提供错误的名称到IP地址的解析信息；拒绝服务攻击；审计系统BUG作为安全管理者和审计人员，你需要对由操作系统产生的漏洞和可以利用的软件做到心中有数审计TrapDoor和RootKitRootkit是用木马替代合法程序。TrapDoor是系统上的bug，当执行合法程序时却产生了非预期的结果。如老版本的UNIXSendmail，在执行debug命令时允许用户以root权限执行脚本代码，一个受到严格权限控制的用户可以很轻易的添加用户账号。审计后门程序通常，在服务器上运行的操作系统和程序都存在代码上的漏洞。后门也指在操作系统或程序中未记录的入口。程序设计人员为了便于快速进行产品支持有意在系统或程序中留下入口。不同于bug，这种后门是由设计者有意留下的。审计拒绝服务攻击防范拒绝服务攻击你可以通过以下方法来减小拒绝服务攻击的危害：加强操作系统的补丁等级。如果有雇员建立特定的程序，特别留意代码的产生过程。只使用稳定版本的服务和程序。审计非法服务，特洛伊木马和蠕虫非法服务开启一个秘密的端口，提供未经许可的服务，常见的非法服务包括：NetBusBackOrifice和BackOrifice2000Girlfriend冰河2.X秘密的建立共享的程序特洛伊木马特洛伊木马是在执行看似正常的程序时还同时运行了未被察觉的有破坏性的程序。木马通常能够将重要的信息传送给攻击者。审计木马扫描开放端门是审计木马攻击的途径之一。如果你无法说明一个开放端口用途，你也许就检测到一个问题。蠕虫Melissa病毒向我们展示了TCP/IP网络是如何容易遭受蠕虫攻击的。在你审计系统时，通常需要配置防火墙来排除特殊的活动，在防火墙上过滤那些从不信任的网络来的数据包和端口。结合所有攻击定制审计策略攻击者有两个共同的特点。首先，他们将好几种不同的方法和策略集中到一次攻击中。其次，他们在一次攻击中和用好几种系统，综合应用攻击策略可以增强攻击的成功率，同时利用好几种系统使他们更不容易被捕获。渗透策略物理接触如果攻击者能够物理接触操作系统，他们便可以通过安装和执行程序来使验证机制无效。操作系统策略较弱的密码策略较弱的系统安全策略审计文件系统漏洞Lab12-8：使用WINNTAutoAttack攻击Windows服务器控制阶段的安全审计一旦攻击者成功地渗透进你的系统，他会立即试图控制它。在这一阶段的目标包括：获得root的权限收集信息开启新的安全漏洞擦除渗透痕迹攻击其他系统如果攻击者成功地进行到这一阶段，通常就很难被发觉了，应该在渗透阶段阻止他们的攻击行为。获得root的权限攻击者最终目的是获得root的权限。攻击者会采用许多不同的策略来获得这一权限，包括前门课程中讨论的各种手段。创建额外账号为了减小从系统中被清除的几率，攻击者通常会在获得root权限后创建额外的账号。审计这种控制手段的方法是查看哪些没有填写完整的用户账号。例如，上面的批处理文件并没有在域中加入任何描述性的语句。获得信息一旦攻击者获得root的权限，他将立即扫描服务器的存储信息。例如，在人力资源数据库中的文件，支付账目数据库和属于上层管理的终端用户系统。审计UNIX文件系统Rootkit充斥在互联网上，很难察觉并清除它们。审计这类程序的最好方法是检查象1s，su和ps等命令在执行时是否正常。大多数替代Rootkit的程序运行异常，或者有不同的文件大小。审计Windows2000文件系统下表列出了在Windows2000中通常文件的存放位置：见8表所示。信息重定向一旦攻击者控制了系统，他便可以进行程序和端口转向。端口转向成功后，他们可以操控连接并获得有价值的信息。例如，有些攻击者会禁止像FTP的服务，然后把FTP的端口指向另一台计算机。那台计算机会收到所有原来那台主机的连接和文件。创建新的访问点通过安装额外的软件和更改系统参数，攻击者还可